崔欣,溫彥龍

(1.國家知識產(chǎn)權(quán)局專利局, 北京 100083;2.中國電子信息產(chǎn)業(yè)集團有限公司, 北京100190)

隨著“兩化”融合的推進和以太網(wǎng)技術(shù)在工業(yè)控制系統(tǒng)中得到大量使用，進而引發(fā)的病毒和木馬攻擊工控設(shè)備的事件不斷出現(xiàn)，嚴重威脅基礎(chǔ)工業(yè)控制設(shè)備的安全運行，其造成的損失可能非常巨大，甚至不可估量。2010年10月，伊朗“震網(wǎng)”(Stuxnet)病毒事件，引起了各國對工控設(shè)備安全的高度重視。面對安全形勢日益嚴峻，國內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護建設(shè)提上了日程。而在工業(yè)控制系統(tǒng)中，工控網(wǎng)絡(luò)存在著特殊性，導(dǎo)致商用IT網(wǎng)絡(luò)的安全技術(shù)無法適應(yīng)工業(yè)控制系統(tǒng)。所以，必須要針對工業(yè)控制系統(tǒng)設(shè)備進行安全性模糊測試，發(fā)現(xiàn)潛在安全風(fēng)險，以便及時采取風(fēng)險應(yīng)對措施，防止安全風(fēng)險被進一步利用，降低工業(yè)控制系統(tǒng)安全風(fēng)險被利用的概率。

1 安全事件

近年來，越來越多工控設(shè)備被攻擊事件頻繁被媒體曝光。2015年12月，某黑客組織使用BlackEnergy惡意程序?qū)蹩颂m電力系統(tǒng)進行攻擊破壞，造成嚴重的電力安全事故。該安全事件導(dǎo)致伊萬諾-弗蘭科夫斯克、 霍洛登卡、卡盧什、多麗娜、 科西夫、納維爾納及亞列姆恰等地區(qū)停電3小時以上，數(shù)十萬戶受到事件影響。這是第一次由于工控設(shè)備受到網(wǎng)絡(luò)攻擊而導(dǎo)致的大面積停電事故，具有非常重要的歷史意義。

2 工控設(shè)備安全風(fēng)險分析

2.1 工控設(shè)備存在的主要安全風(fēng)險

當(dāng)前工控設(shè)備或系統(tǒng)存在的主要安全風(fēng)險有以下幾個方面：

（1）多數(shù)工控設(shè)備采用通用的通信協(xié)議

多數(shù)工控設(shè)備或系統(tǒng)采用TCP/IP等通用的通信協(xié)議，通用通信協(xié)議存在的安全風(fēng)險也勢必會影響到工控設(shè)備或系統(tǒng)的安全。

（2）調(diào)試終端大多采用通用操作系統(tǒng)

目前，大部分的工控設(shè)備操作站或調(diào)試終端均安裝Windows、Linux等通用操作系統(tǒng)。再加上，日常安全管理不到位，致使多數(shù)操作系統(tǒng)長時間不升級、不安裝系統(tǒng)補丁，形成了大量的安全漏洞。

（3）日常安全管理策略不到位

缺少針對工控設(shè)備的日常安全管理策略及制度要求，工控設(shè)備使用無章可循，為安全事件留下了大量安全隱患。

（4）工控軟件本身缺少安全性設(shè)計

多數(shù)工控設(shè)備更重視設(shè)備功能、性能，安全性設(shè)計考慮缺失，甚至連最基本的殺毒軟件都不安裝，或及時安裝也不會及時更新系統(tǒng)補丁，是大多數(shù)工控軟件存在的共性問題，這都為工控設(shè)備安全事件埋下嚴重隱患，見圖1。

圖1 典型工控系統(tǒng)的安全問題

2.2 國內(nèi)外工控設(shè)備安全研發(fā)情況

目前，在工控設(shè)備的風(fēng)險分析及漏洞發(fā)現(xiàn)方面，歐美國家仍處于領(lǐng)先地位。

加拿大的伍爾德泰克公司的Achilles的模糊測試功能已相對成熟，且形成了相對完整的認證管理體系，在國際上有一定的知名度。國內(nèi)外知名工控廠商，多數(shù)已通過其認證。

芬蘭科諾康公司的漏洞挖掘、掃描技術(shù)在全球也有一定的技術(shù)優(yōu)勢。2014年，科諾康公司利用其技術(shù)優(yōu)勢，成功發(fā)現(xiàn)震驚世界的互聯(lián)網(wǎng)漏洞——心臟出血漏洞。

目前，國內(nèi)有關(guān)工控設(shè)備的漏洞挖掘、掃描分析技術(shù)，仍處于研究、探索階段，少部分科研單位已開展相關(guān)課題研究。

2.3 必要性及意義

目前，大量嵌入式工控設(shè)備被廣泛應(yīng)用，如通信保護裝置、工控交換機、計量監(jiān)測等。這些被廣泛應(yīng)用的嵌入式設(shè)備多數(shù)基于通用芯片、操作系統(tǒng)、通用協(xié)議進行設(shè)計、開發(fā)，產(chǎn)品廠商重點關(guān)注工控設(shè)備的功能、性能及易用性，工控設(shè)備的安全設(shè)計及實現(xiàn)，往往被忽略。隨著工控設(shè)備或系統(tǒng)安全風(fēng)險不斷突出，嵌入式設(shè)備潛在的安全風(fēng)險、漏洞也被不斷發(fā)現(xiàn)，勢必對工控設(shè)備或系統(tǒng)安全形成重要的威脅。

基于此，有必要對工控系統(tǒng)所使用的各類嵌入式設(shè)備進行安全風(fēng)險研究和測試，提前發(fā)現(xiàn)工控設(shè)備或系統(tǒng)存在的安全風(fēng)險或漏洞，不斷提升工控設(shè)備或系統(tǒng)的風(fēng)險應(yīng)對能力，進一步確保工控設(shè)備或系統(tǒng)的安全穩(wěn)定運行。

3 工業(yè)控制系統(tǒng)模糊測試

3.1 理論依據(jù)

工業(yè)控制系統(tǒng)的的模糊測試是自動化生成可用于輸入被測試工控設(shè)備或系統(tǒng)的測試數(shù)據(jù)，進而檢驗工控設(shè)備或系統(tǒng)的安全性。

3.2 測試方法

根據(jù)預(yù)期的測試目標(biāo)，明確怎樣通過標(biāo)準協(xié)議進行模糊測試。模糊測試方法一般為如下三種：

（1）白盒測試。

（2）黑盒測試。

（3）灰盒測試。

白盒測試：此方法需要根據(jù)被測工控系統(tǒng)的全部代碼、設(shè)計文檔等資源進行全透明測試。此方法高度依賴代碼開放度，屬于代碼級測試。

方法優(yōu)勢：針對完整代碼進行評審、測試，覆蓋程度最高。

方法劣勢：分析完整開發(fā)代碼復(fù)雜性太高，不可避免地會產(chǎn)生誤報。測試人員的業(yè)務(wù)水平對測試結(jié)果也會產(chǎn)生比較大的影響。而且，多數(shù)廠商并不愿意提供完整的源代碼給測試人員。

黑盒測試：此方法可完全忽略被測工控系統(tǒng)的內(nèi)部邏輯，僅通過對被測系統(tǒng)進行外部掃描進行安全性驗證、測試。測試者模擬用戶行為進行輸入，通過輸出結(jié)果分析工控設(shè)備的安全性。

方法優(yōu)勢：可操作性、可實現(xiàn)性非常高，適用于各種不同類型的工控設(shè)備；方法簡單，可在不了解工控設(shè)備內(nèi)部邏輯的基礎(chǔ)上開展測試工作；結(jié)果可重現(xiàn)，此方法可在任何情況下重現(xiàn)測試結(jié)果。

方法劣勢：對工控設(shè)備的安全分析結(jié)果不全面。

灰盒測試：該方法是以上兩種方法的折中，包含黑盒測試邏輯的同時，也包含通過各種途徑獲得的系統(tǒng)內(nèi)部邏輯。

方法優(yōu)勢：既具有良好的可用性，也有比較高的覆蓋率。

方法劣勢：測試方法復(fù)雜性較高，對測試人員業(yè)務(wù)素養(yǎng)有較高要求。

綜合考慮到復(fù)雜性、可實現(xiàn)性、易用性及可重現(xiàn)性，選擇黑盒測試方法作為模糊測試的方法。

3.3 技術(shù)路線

模糊測試通過向工控設(shè)備或系統(tǒng)應(yīng)用程序逆向輸入污染數(shù)據(jù)，同時監(jiān)控工控設(shè)備的輸出異常，對發(fā)現(xiàn)工控系統(tǒng)、設(shè)備、協(xié)議的存在的安全風(fēng)險具有重大意義，使得風(fēng)險發(fā)現(xiàn)不再完全依賴于CVE/CNVD等公開漏洞庫。

測試用污染數(shù)據(jù)的生成主要有以下幾種方法：

3.3.1 預(yù)先生成測試用例

該方法首先對工控設(shè)備協(xié)議規(guī)則進行研究、分析，理解該協(xié)議規(guī)則所支持的數(shù)據(jù)類型、結(jié)構(gòu)以及可以接受的數(shù)值范圍。然后，根據(jù)協(xié)議規(guī)則生成用于測試被測試工控設(shè)備的邊界范圍或違規(guī)范圍測試用例。

創(chuàng)建預(yù)先生成測試用例需要大量的工作量，但是測試用例一旦形成，就具備很高的復(fù)用性，用于測試某種工控設(shè)備協(xié)議、規(guī)則的不同實現(xiàn)。但是，這種方法的局限性在于缺乏隨機性，測試用例執(zhí)行完成，測試工作便結(jié)束。

3.3.2 生成隨機數(shù)據(jù)輸入

隨機生成數(shù)據(jù)的方法是效率比較低的方法，但是，該防范可以迅速識別目標(biāo)設(shè)備或系統(tǒng)中是否有存在嚴重安全風(fēng)險。隨機生成數(shù)據(jù)方法可以簡單地向目標(biāo)設(shè)備或系統(tǒng)發(fā)送偽隨機數(shù)據(jù)，期望得到正?；蚍钦５慕Y(jié)果。

3.3.3 強制性測試

此方法是一種相對有效的模糊測試方法，此方法基本不需了解工控設(shè)備相關(guān)知識。該方法關(guān)鍵在于不斷修改數(shù)據(jù)發(fā)送給被測設(shè)備或系統(tǒng)。除了不斷發(fā)送數(shù)據(jù)外，該方法還加入了必要的錯誤檢測、日志分析等手段。但是，該方法效率相對較低，在生成垃圾數(shù)據(jù)處理上會形成很多不必要的浪費。但是，該防范的優(yōu)勢也是比較明顯的，具體如下：

（1）該方法的測試過程可以完全實現(xiàn)自動化。

（2）使用該方法的代碼覆蓋程度依賴于一致的合法數(shù)據(jù)包，即使要達到較低的覆蓋率，對樣本的需求量也比較大。

3.3.4 自動協(xié)議生成測試

自動協(xié)議生成測試可以理解為強制性測試的升級版。使用該測試方法，首先要研究被測工控設(shè)備或系統(tǒng)的協(xié)議、規(guī)則。

測試者需要區(qū)別數(shù)據(jù)包中的靜態(tài)部分和動態(tài)部分，動態(tài)部分可以被模糊化變量替代。模糊測試器動態(tài)生成測試數(shù)據(jù)，并將輸入到被測設(shè)備。

該方法的測試結(jié)果對測試者的依賴程度較高，測試者需要能夠了解協(xié)議、規(guī)則中最容易發(fā)生故障的部分。

模糊測試方法對數(shù)據(jù)結(jié)構(gòu)了解得越多，就越能夠在模糊測試中關(guān)注那些易于引發(fā)異常的協(xié)議中的部分，所以必須要了解工控系統(tǒng)通信協(xié)議的組成與規(guī)范，這樣才能生成一個更好的模糊測試數(shù)據(jù)。

例如：在IP分片的測試中，主要在如下兩個方面做了變異，第一是標(biāo)識符（Identifier）字段，第二個標(biāo)記（Flags）字段，一方面，在標(biāo)記字段中，MF位是用來說明是否有更多的分片，正常情況下，如果所有的分片都發(fā)送完畢后這個位會被置成0，標(biāo)識所有的分片都已經(jīng)就緒，可以重組所有的分片，而在變異的數(shù)據(jù)包中這個位并沒有去理會是否所有的分片都收到，而是一直標(biāo)識為后續(xù)片，導(dǎo)致接收方需要不斷緩存分片，另一方面，除了上述處理外，還不斷的改變標(biāo)識符字段，導(dǎo)致了會產(chǎn)生很多組這樣的無法重組的報文，當(dāng)這樣的報文所需要的空間超過系統(tǒng)可以承受的空間而又無法正確處理這樣的錯誤的時候就會導(dǎo)致緩沖區(qū)溢出，進而導(dǎo)致系統(tǒng)崩潰。

綜上所述，從模糊測試的原理進行深度研究?；跍y試用例的程序編譯實現(xiàn)變異報文的構(gòu)建，借以對工控系統(tǒng)協(xié)議的錯誤或缺陷進行檢查。本文設(shè)計了一個自動化測試框架以實現(xiàn)其可拓展性和完備性，實現(xiàn)測試目標(biāo)的全方面監(jiān)控，測試結(jié)果的全方位管理。

3.4 測試效果

基于本文設(shè)計實現(xiàn)的工業(yè)控制系統(tǒng)模糊測試框架（見圖2），對工控系統(tǒng)中廣泛使用的某型號變壓器保護設(shè)備、某型號測控裝置進行了漏洞挖掘，發(fā)現(xiàn)了MMS協(xié)議語法漏洞、IP分片報文漏洞等多個原創(chuàng)高危漏洞。

圖2 工業(yè)控制系統(tǒng)模糊測試框架

以下是對某款設(shè)備進行測試的結(jié)果：

00ARP監(jiān)視器顯示被測設(shè)備ARP請求的響應(yīng)時間（見圖3），X軸是時間軸，Y軸標(biāo)識響應(yīng)時間，單位為毫秒(ms)。被測設(shè)備在17:57:48及之前工作正常，ARP響應(yīng)時間在0.5ms左右，在17:57:48之后已經(jīng)無法對ARP請求作出響應(yīng)，說明被測設(shè)備已經(jīng)出現(xiàn)故障。

圖3 ARP監(jiān)視器

圖4 ICMP監(jiān)視器

ICMP監(jiān)視器顯示被測設(shè)備對ICMP請求的響應(yīng)時間（見圖4），X軸是時間軸，Y軸標(biāo)識響應(yīng)時間，單位為毫秒(ms)。被測設(shè)備在17:57:48及之前工作正常，ICMP響應(yīng)時間在0.5ms左右，在17:57:48之后已經(jīng)無法對ICMP請求作出響應(yīng)，說明被測設(shè)備已經(jīng)出現(xiàn)故障。

TCP監(jiān)視器顯示被測設(shè)備開放的TCP端口的數(shù)量（見圖5），X軸是時間軸，Y軸標(biāo)識TCP端口的數(shù)量。被測設(shè)備在17:57:49及之前工作正常，開放的TCP端口為2個，在17:57:49之后無法探測到開放的TCP端口，說明被測設(shè)備已經(jīng)出現(xiàn)故障。

圖5 TCP監(jiān)視器

綜上所述，在測試過程中，用于監(jiān)視協(xié)議棧的ICMP和ARP監(jiān)視器突然超時，而用于監(jiān)視服務(wù)的TCP監(jiān)視器的端口開放數(shù)量也從2個變?yōu)?個，說明所有的服務(wù)已經(jīng)關(guān)閉，由此可以推斷，此款設(shè)備已經(jīng)宕機。

4 結(jié)語

本文在研究模糊測試的理論方法的基礎(chǔ)上，選擇適當(dāng)?shù)募夹g(shù)路線，設(shè)計實現(xiàn)了一個工業(yè)控制系統(tǒng)模糊測試框架，基于此框架發(fā)現(xiàn)了工控領(lǐng)域中使用的部分設(shè)備的原創(chuàng)高危漏洞。這說明，對工業(yè)控制系統(tǒng)進行健壯性測試，對提高工控安全性具有積極的意義，是一個重要的努力方向。